Closed Thread
Results 1 to 2 of 2

Thread: Infos zum Hash-Verifkationsverfahren

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Infos zum Hash-Verifkationsverfahren

    Teilnehmende Tracker
    (auf den Tracker klicken für weitere Details zur Hash-Übermittlung)



    In der Infomail die an jeden User von BitCity Reloaded verschickt wurde und über die Sicherheitsmängel dort und unser aktuelles Security-Review informiert, wurden am Ende Hashes für verschiedene Tracker mitgesendet.

    Diese Hashes sind einzigartig und können als Proof für den BitCity Reloaded Account bei anderen Trackern benutzt werden. Wir wissen nicht genau, ob andere Tracker daran überhaupt Interesse haben und sich für das Programm hier eintragen. Das von uns entworfene Hash-Verifikationsverfahren stellt jedoch eine elegante Methode dar, um sich bei anderen Trackern mit nichts weiter als der Benutzer-ID von BitCity und unserem erzeugten Hash für den jeweiligen Tracker zu bewerben. Dies setzt natürlich voraus, dass diese Tracker uns zuvor kontaktiert haben und an dem Programm teilnehmen.

    Auch für uns ist dieser Schritt Neuland, aber selbst wenn es nicht funktioniert, entsteht für niemanden ein Nachteil dadurch. Es kann nur Vorteile haben. Wir werden nun versuchen die wichtigsten Fragen hier zu beantworten und stehen natürlich für weiterführende Fragen jederzeit zur Verfügung.


    Wie kann ich überprüfen, ob das überhaupt alles stimmt was in der E-Mail behauptet wurde?

    Das geht sehr einfach. Wir haben dafür eine extra Seite geschaltet, wo ihr einfach nur eure Benutzer-ID und den privaten Hash aus der E-Mail (zu finden ganz unten) eintragen müsst. Anschließend bekommt ihr einige Daten zu eurem BC-Account angezeigt. Teilnehmende Tracker erhalten einen separaten Link, der nur Upload, Download, zensierter IP-Adresse, Registrierungsdatum und euren Benutzernamen anzeigt. Das sind unserer Meinung nach die wichtigsten Infos die man für einen Tracker-Proof benötigt und viel mehr geht andere Tracker eigentlich auch gar nicht an.


    Kann da nun nicht jeder x-beliebige meine persönlichen Daten abfragen?

    Nein, das geht nicht. Es können nur Daten abgefragt werden mit eurer Benutzer-ID und einem dafür erzeugten Hash. Diese Hashes befinden sich einzig und allein in der privaten E-Mail die ihr von uns erhalten habt. Niemand sonst besitzt diese Daten!


    Wieso gibt es für jeden aufgelisteten Tracker einen eigenen Hash?

    Weil jeder Tracker der an diesem Programm teilnehmen möchte, einen persönlichen Schlüssel erhält mit dem er nur die Hashes für den eigenen Tracker abrufen kann. Mit Hashes von anderen Trackern kann er nichts anfangen. Außerdem dient dies als Schutz für die Tracker, damit sich niemand mehrere Accounts mit dem gleichen Hash oder einem Hash der nicht für den Tracker bestimmt ist besorgen kann.


    Kann nun nicht jeder Tracker der an dem Programm teilnimmt sämtliche Userdaten von BitCity Reloaded einsehen?

    Nein. Tracker die an dem Programm teilnehmen können nur Daten abfragen, wenn sie eine gültige Benutzer-ID und den passenden Hash dazu von einem User erhalten haben. Mit diesen Informationen können sie dann nur zu diesem Benutzer die entsprechenden Informationen abrufen. Nicht mehr und nicht weniger.


    Ist das mit dem Hash nicht irgendwie unsicher?

    Nein ist es nicht. Wir benutzen einen bewährten Hash-Algorithmus (SHA2-256) dafür. Zusätzlich wird ein Secret mit ausreichend Entropie für die Erzeugung dieses Hashs benutzt. Da wir von Security by Obscurity nicht viel halten, hier der Code dazu.

    PHP Code:
    function generateHash($userid$secret) {
        return 
    hash_hmac('sha256'$userid$secret);


    Wieso tut ihr sowas?

    Wir wissen nicht genau, wie BitCity Reloaded auf unseren erneuten Einbruch reagieren wird. Bevor nun wieder ein Haufen User vor dem Problem steht keinen gültigen Tracker mehr zu haben, sorgen wir lieber vor und bieten euch eine externe Form eines Trackerproofs an.


    Was habt ihr davon?

    Eigentlich nur Arbeit.


    Wieso sollte ich als Tracker XY Interesse an diesem Programm haben?

    Weil wir damit eine zuverlässige und einfache Möglichkeit für einen BC Reloaded Trackerproof geschaffen haben. Man benötigt keine unsicheren Screenshots oder andere kuriose Beweismethoden. Der User benötigt nur seine Benutzer-ID und den passenden Hash.


    Ich gehöre zum Tracker-Staff XY und habe Interesse an diesem Programm teilzunehmen.

    In diesem Fall schreibe mir bitte eine private Nachricht. Dort erhältst du dann weitere Informationen wo und wie du die benötigten Daten abrufen kannst.


    Thanks

  2. Who Said Thanks:

    schotte (25.03.19) , coolio256 (25.03.19) , Snitlev (24.03.19) , amsel (23.03.19) , Mauerwerk (22.03.19) , Shark (22.03.19) , treter (22.03.19)

  3. #2
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Liste aktualisiert.


    Thanks

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •